北京廣利核系統(tǒng)工程有限公司 李熊，程康，張春雷，金成日

1 引言

可靠性工程學是一門成熟的專業(yè)學科，從可靠性數(shù)學基礎(chǔ)到可靠性設(shè)計、可靠性管理、可靠性試驗與評估，可靠性分析等，已經(jīng)逐步形成了可靠性工程學中的專業(yè)學科。可靠性是產(chǎn)品的基本屬性，在產(chǎn)品誕生之時就伴隨而生，并不因是否開展研究而存在。

安全性是廣義的概念，最早引起關(guān)注的是產(chǎn)品本身的安全性，即所謂的本質(zhì)安全。發(fā)展到現(xiàn)代，還需要考慮設(shè)備對環(huán)境的安全性，設(shè)備對人的安全性等，近年來功能安全方面的研究更是取得了豐碩的成果。

儀控系統(tǒng)作為整個核電站的中樞神經(jīng)系統(tǒng)，對確保核電站的安全、經(jīng)濟運行起著至關(guān)重要的作用，對其可靠性與安全性有著全面的要求。雖然可靠性和安全性有一定的關(guān)聯(lián)性，但有不同的概念，研究的核心和重點也不同，不能相互混淆，更不能相互替代。本文從核電儀控系統(tǒng)研發(fā)過程入手，從概念理論和應(yīng)用角度分析它們的關(guān)系與區(qū)別。

2 概念

2.1 可靠性定義

可靠性定義是產(chǎn)品在規(guī)定的條件下，在規(guī)定的時間內(nèi)完成規(guī)定功能的能力?？煽啃愿拍畎龑雍x。首先，產(chǎn)品的可靠性是以規(guī)定的條件為前提。所謂規(guī)定的條件是指在規(guī)定的時間內(nèi)產(chǎn)品使用的應(yīng)力條件、環(huán)境條件和儲存條件等。規(guī)定的條件不同，產(chǎn)品的可靠性也不同。其次，產(chǎn)品的可靠性與規(guī)定的時間密切相關(guān)。一般來說，電子產(chǎn)品經(jīng)過老化時間后，有較長的穩(wěn)定使用期。之后，隨著時間的推移，穩(wěn)定性逐漸下降，可靠性降低。時間越長，可靠性越低。最后，產(chǎn)品的可靠性是用完成規(guī)定的功能來衡量的。這里所謂的功能是指產(chǎn)品的全部功能，而不僅指其中一部分。產(chǎn)品只有完成規(guī)定的的全部功能，才被認為是可靠的。系統(tǒng)或系統(tǒng)中一部分不能完成預(yù)定功能的事件或狀態(tài)稱為故障或失效。

2.2 可靠性的主要指標

在可靠性理論中，描述可靠性的指標有很多種，這里給出最基本的幾個可靠性指標。

（1）可靠度函數(shù)

可靠度是指產(chǎn)品在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的概率。顯然，可靠度是可靠性的定量表示，通常用R(t)表示：

式中：R(t)—產(chǎn)品在時間t內(nèi)正常工作的概率；N—總樣品數(shù)；

n—規(guī)定時間t內(nèi)的故障數(shù)。

（2）故障率

故障率是指產(chǎn)品工作到t時刻后的單位時間內(nèi)的失效數(shù)與在t時刻尚能正常工作的產(chǎn)品數(shù)之比。

（3）平均壽命

平均壽命是指產(chǎn)品正常工作的平均時間，對不可修復(fù)產(chǎn)品，是指產(chǎn)品失效前的平均工作或儲存時間，記為MTTF（Mean Time To Failure）；對可修復(fù)產(chǎn)品，平均壽命是指相鄰兩次故障間的平均時間，稱為平均無故障工作時間或平均故障間隔時間，記作MTBF（Mean Time Between Failure）。

（4）可用性

可用率是在任何一個時刻，系統(tǒng)正常工作的可能性。可用性表達了一個設(shè)備能夠正工作的百分數(shù)。常用的可用率計算公式如下：

式中：MTBF為Mean Time Between Failure；

MTTR為Mean Time To Repair平均故障修復(fù)時間。

2.3 安全性定義

安全性是指不發(fā)生事故的能力，是判斷、評價系統(tǒng)性能的一個重要指標。它表明系統(tǒng)在規(guī)定的條件下，在規(guī)定的時間內(nèi)不發(fā)生事故的情況下，完成規(guī)定功能的性能。其中事故指的是使一項正常進行的活動中斷，并造成人員傷亡、職業(yè)病、財產(chǎn)損失或損害環(huán)境的意外事件。

分析核電控制系統(tǒng)安全性時，必須考慮兩種重要的失效模式：安全失效與危險失效。安全失效是不會使系統(tǒng)處于潛在的危險狀態(tài)或功能故障狀態(tài)的失效，核電控制系統(tǒng)安全失效一般為誤動。危險失效是可能使系統(tǒng)潛在的處于某種危險或功能喪失狀態(tài)的失效，核電控制系統(tǒng)危險失效一般為拒動。

2.4 安全性的主要指標

描述安全性的指標有很多種，這里給出最基本的幾個安全性指標。

（1）拒動概率

保護系統(tǒng)不能按命令（信號）執(zhí)行規(guī)定動作的概率。

（2）診斷覆蓋率

診斷覆蓋率定義為進行自動診斷測試而導致的硬件危險失效概率的降低部分。診斷覆蓋率可以通過將檢測到的失效率相加，并除以總的失效率來得到。具有失效檢測能力是任何控制系統(tǒng)或者安全系統(tǒng)的重要特征，這一特征可以減少維修時間，并控制一些容錯結(jié)構(gòu)的運行。

式中：DC—診斷覆蓋率；

DD—檢測到的危險失效率；

total—總的危險失效率。

3 分析和設(shè)計方法

3.1 可靠性分析和設(shè)計

廣利核公司設(shè)計開發(fā)核電控制系統(tǒng)時，將可靠性分析和設(shè)計方法貫穿于產(chǎn)品的全壽命周期，在概念、設(shè)計研制、制造、使用和維修全壽命周期內(nèi)開展可靠性工作。在每個階段都充分利用可靠性設(shè)計和分析方法，力求將產(chǎn)品的故障率控制到最低，分析流程如圖1所示。

圖1 可靠性設(shè)計分析流程

（1）概念階段

對系統(tǒng)全壽命周期歷程進行分析，提出各個階段的使用條件定義，明確系統(tǒng)可靠性要求和指標。

（2）研制階段

為使系統(tǒng)的設(shè)計可靠，將可靠性設(shè)計和分析方法融入貫穿到研發(fā)流程中，使之得到有效利用。其中包括可靠性分配、零部件及材料管理和優(yōu)選、元器件降額、冗余設(shè)計、環(huán)境適應(yīng)性設(shè)計、熱設(shè)計、EMC設(shè)計、FMEA、FTA、機械有限元分析、可測試性設(shè)計、容差分析、維修性設(shè)計、故障診斷設(shè)計、可靠性預(yù)計等。

（3）生產(chǎn)調(diào)試階段

對系統(tǒng)進行有效的試驗，包括可靠性鑒定試驗、可靠性測定試驗、可靠性驗證試驗、可靠性增長試驗、加速壽命試驗、數(shù)據(jù)分析等。通過試驗分析確定系統(tǒng)是否滿足可靠性要求，并將實驗數(shù)據(jù)反饋給可靠性設(shè)計分析。

（4）現(xiàn)場應(yīng)用階段

對失效現(xiàn)象進行詳細的失效分析，并將失效分析結(jié)果反饋給可靠性設(shè)計分析。對現(xiàn)場應(yīng)用數(shù)據(jù)進行收集，并將數(shù)據(jù)反饋給可靠性設(shè)計分析。

3.2 安全性分析和設(shè)計

廣利核公司設(shè)計開發(fā)核電控制系統(tǒng)時，將安全性設(shè)計與分析貫穿整個研發(fā)和驗證流程，從系統(tǒng)研制初期的論證階段開始進行，并貫穿于工程研制、生產(chǎn)階段的系統(tǒng)性檢查、研究和分析危險。充分分析系統(tǒng)或設(shè)備在使用模型中的工作狀態(tài)，確定潛在的危險，預(yù)計這些危險對人員傷害或?qū)υO(shè)備損壞的可能性，并確定消除或減少危險的方法，以便能夠在事故發(fā)生之前消除或盡量減少事故發(fā)生的可能性，降低事故有害影響的程度。

（1）安全性分析方法

在核電領(lǐng)域得到廣泛應(yīng)用的安全分析方法有確定論評價方法與概率分析評價方法，如圖2所示。前者從定性的角度評價核電儀控系統(tǒng)安全性，通過分析各類故障及其影響，發(fā)現(xiàn)產(chǎn)品薄弱環(huán)節(jié)，提出改進建議，且對每種故障逐一提出診斷和控制方法，為產(chǎn)品整體安全設(shè)計提供設(shè)計準則，為安全管理決策提供依據(jù)。該方法主要從單故障分析和多故障分析兩個方面進行，單故障分析主要的分析方法為FMEA（失效模式與影響分析）、PHA（過程危險分析）、SHA、HAZOP等，多故障分析主要分析方法為共因故障分析、FTA、ETA等。

概率安全評價方法從定量的角度評價數(shù)字化儀控系統(tǒng)，通過計算各項安全性指標、分析系統(tǒng)敏感性和重要度，從而達到對系統(tǒng)的安全性進行評價和發(fā)現(xiàn)產(chǎn)品薄弱環(huán)節(jié)的目的。該方法主要從靜態(tài)分析和動態(tài)分析兩方面進行，靜態(tài)分析主要分析方法為RBD、FTA、ETA等，動態(tài)分析主要分析方法為Markov和DFM。

圖2 安全分析方法

（2）安全性設(shè)計方法

安全性設(shè)計是在系統(tǒng)安全性分析的基礎(chǔ)上，通過各種設(shè)計活動消除或控制危險，防止所設(shè)計的系統(tǒng)在研制、生產(chǎn)、使用和保障過程中發(fā)生導致人員傷亡和設(shè)備損壞的各種意外事故。

安全性設(shè)計需要解決下列問題：

如何設(shè)計才能使系統(tǒng)準確地完成其既定功能？

如果系統(tǒng)功能已經(jīng)出現(xiàn)異?；蚴?，如何能將其造成的危害降到最低？

第一個問題可以理解為如何避免系統(tǒng)故障，這個角度跟可靠性設(shè)計目的是一致的。

第二個問題可以理解為系統(tǒng)故障后的控制。對于系統(tǒng)自身能控制的故障主要通過自診斷設(shè)計使故障能被診斷出來，并且將故障導向安全。對于系統(tǒng)自身不能控制的故障主要通過多重冗余表決架構(gòu)和縱深防御后備系統(tǒng)進行控制。

4 區(qū)別與聯(lián)系

分析核電儀控系統(tǒng)中安全性與可靠性的關(guān)系及區(qū)別，可以從以下幾點加以討論。

（1）概念上來講，可靠性概念關(guān)注的核心是壽命，旨在分析、控制和預(yù)防系統(tǒng)的故障，分析對象是故障，安全性關(guān)注的核心是安全與危險，旨在識別、評價、消除或控制中的危險，分析對象是危險和風險。

對于整個系統(tǒng)來說，系統(tǒng)故障集和危險集部分相互覆蓋。有些時候故障是安全的，即系統(tǒng)故障造成不可靠性，但不導致安全性喪失（如圖3中FS區(qū)域），例如：核電安全控制系統(tǒng)的模擬量輸入端出現(xiàn)錯誤，但是控制系統(tǒng)通過診斷控制設(shè)計將失效導向安全輸出。

有些時候故障等于危險，不可靠性就是不安全（如圖3中FH區(qū)域）。例如：當核電安全控制系統(tǒng)的輸出控制端失效，導致系統(tǒng)拒絕本該進行的停堆動作。

有些時候危險因素造成不安全，但不導致系統(tǒng)故障（如圖3中H區(qū)域）。例如：遠低于安全閥值的模擬量偏差。

圖3 故障與危險關(guān)系圖

（2）從設(shè)計目的上來說，可靠性的目的是將系統(tǒng)的失效率控制到最小，安全性在控制系統(tǒng)失效率的同時，重點研究失效發(fā)生后不會發(fā)生安全事故，將危害減到最小。因此，在防止故障方面，可靠性和安全性的利害關(guān)系是一致的。可以說可靠性是安全性的前提和基礎(chǔ)，產(chǎn)品只有在保證可靠性的前提下，考慮安全性才有意義。不可靠的產(chǎn)品，安全性無從談起。

但在實際設(shè)計時，安全性和可靠性有時是矛盾的。按照安全性設(shè)計理念，希望故障被診斷發(fā)現(xiàn)，并能通過設(shè)計導向安全。這樣必然使設(shè)計更為復(fù)雜，在一定程度上增加了系統(tǒng)的故障率，降低了系統(tǒng)的可用性。但若只考慮可靠性，那么安全性也無法保證。

（3）從分析方法上來說，安全性分析方法中的確定論評價方法和概率分析評價方法無論是所依據(jù)的理論基礎(chǔ)，還是技術(shù)方法，都與可靠性分析有著密不可分的關(guān)系。在安全性分析中統(tǒng)治地位的FTA、ETA和FMEA，同樣在可靠性分析中不可缺少。這些分析方法在系統(tǒng)可靠性、安全性分析中是相互補充、相輔相成的關(guān)系，需要根據(jù)可靠性分析與安全性分析各自的結(jié)果采取改進措施，以滿足系統(tǒng)可靠性、安全性的全面要求。

同時，在分析系統(tǒng)可靠性時，必須關(guān)心不同故障模式的潛在后果。對于那些會引起安全問題的故障，需要作出安全評價，這時可靠性與安全性分析將結(jié)合在一起。

（4）核電儀控系統(tǒng)對可靠性和安全性有著不同的定量要求，安全性的度量是危險概率或風險值，涉及事件的發(fā)生概率與后果?？煽啃允前凑障到y(tǒng)執(zhí)行其預(yù)定功能能力來確切度量的，度量一般為MTBF值和可用性等。兩者的定量要求計算分析方法不同，但都是以失效概率為出發(fā)點進行的。

（5）可靠性高的產(chǎn)品未必就是安全性高的產(chǎn)品，以核電控制系統(tǒng)中常用的冗余系統(tǒng)設(shè)計為例，當采用3重并聯(lián)冗余設(shè)計時，其可靠度數(shù)學表達式為，而當采用3取2表決冗余設(shè)計時，其可靠度數(shù)學表達式為（假設(shè)表決器可靠）?？梢钥闯?重并聯(lián)冗余設(shè)計可靠性要優(yōu)于3取2表決冗余設(shè)計，其邏輯圖如圖4、圖5所示。但3取2表決冗余設(shè)計增加了表決器，在表決單元完好地進行數(shù)據(jù)判斷，降低故障誤報率，安全性比3重并聯(lián)冗余設(shè)計高。

圖4 3重并聯(lián)冗余邏輯圖

圖5 3取2冗余邏輯圖

5 結(jié)論

從概念、設(shè)計目的、分析方法、定量要求等方面可以看出，安全性和可靠性不等同，也不能混淆，但實際上又有著非常緊密的聯(lián)系。在進行核電儀控開發(fā)時需要將安全性和可靠性工作同時開展，區(qū)別對待的同時緊密聯(lián)合。

[1]孫懷義, 劉斌, 曹曉莉. 表決冗余系統(tǒng)可靠性與安全性研究[J]. 電子測量與儀器學報, 2011 (7).

[2]蔡琦. 船用核動力裝置可靠性與安全性分析的關(guān)系探討[J]. 海軍工程學院學報, 1997(4).

[3]威廉?戈布爾. 控制系統(tǒng)的安全評估與可靠性[M]. 中國電力出版社, 2008.

[4]IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems[S].